CVE二进制工具(CVE Binary Tool) 使用教程

最新推荐文章于 2024-08-12 08:25:12 发布
最新推荐文章于 2024-08-12 08:25:12 发布
阅读量407 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00300/article/details/141080426
版权

CVE二进制工具(CVE Binary Tool) 使用教程

cve-bin-toolThe CVE Binary Tool helps you determine if your system includes known vulnerabilities. You can scan binaries for over 200 common, vulnerable components (openssl, libpng, libxml2, expat and others), or if you know the components used, you can get a list of known vulnerabilities associated with an SBOM or a list of components and versions.项目地址:https://gitcode.com/gh_mirrors/cv/cve-bin-tool

1. 项目介绍

CVE二进制工具是由Intel开发的一个用于扫描软件中的已知漏洞的工具。它支持检查二进制文件、组件列表以及软件包清单(SBOM),并能识别出CVE(Common Vulnerabilities and Exposures)安全漏洞。此工具可以生成SBOM,提供HTML、JSON或PDF格式的报告,并且在GitHub的安全标签页中显示结果。

2. 项目快速启动

安装

首先确保你的系统上已经安装了Python 3.x。然后,通过Git克隆项目仓库:

git clone https://github.com/intel/cve-bin-tool.git
cd cve-bin-tool

接下来,使用pip安装依赖:

pip install .

扫描目录

运行以下命令扫描指定目录下的文件:

./cve-bin-tool /path/to/directory

你可以通过添加参数来排除某些路径,例如:

./cve-bin-tool /path/to/directory --exclude path/to/exclude1,path/to/exclude2

为了获取版本信息,运行:

./cve-bin-tool --version

3. 应用案例和最佳实践

  • 自动化扫描: 将cve-bin-tool集成到持续集成流程,比如GitHub Actions,定期对源代码库进行安全检查。
  • 离线模式: 对于满足合规性的团队,可以提前下载数据库文件并使用--offline选项进行离线扫描。
  • SBOM生成: 在软件发布前,生成详细的SBOM以增强供应链透明度。
  • 合规性检查: 公司的安全政策组可以利用工具指导漏洞分类和处理。

4. 典型生态项目

  • GitHub Actions: cve-bin-tool-action允许在GitHub Actions工作流中直接运行安全扫描。
  • CycloneDX: 支持CycloneDX格式的VEX,与其他工具配合,实现跨产品的安全扫描。

通过结合这些生态项目,你可以建立一个强大的自动化安全检查系统,确保软件在整个生命周期中保持安全。

cve-bin-toolThe CVE Binary Tool helps you determine if your system includes known vulnerabilities. You can scan binaries for over 200 common, vulnerable components (openssl, libpng, libxml2, expat and others), or if you know the components used, you can get a list of known vulnerabilities associated with an SBOM or a list of components and versions.项目地址:https://gitcode.com/gh_mirrors/cv/cve-bin-tool

翟萌耘Ralph
关注
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3099
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
工具学习_CVE Binary Tool
kitsch0x97的博客
08-06 1007
CVE Binary Tool 是一个免费的开源工具,可帮助您使用国家漏洞数据库(NVD)常见漏洞和暴露(CVE)列表中的数据以及Redhat、开源漏洞数据库(OSV)、Gitlab咨询数据库(GAD)和Curl中的已知漏洞数据来查找软件中的已知脆弱性。它旨在用作您的持续集成系统的一部分,以实现定期漏洞扫描,并为您的供应链中的已知问题提供预警。它还可以用于自动检测组件和创建SBOM。:CVE 数据来自 NVD、Redhat、OSV、Gitlab 以及 Curl。
CVE二进制工具(CVE Bin Tool)安装与使用教程
gitblog_01064的博客
08-10 463
CVE二进制工具(CVE Bin Tool)安装与使用教程 cve-bin-toolThe CVE Binary Tool helps you determine if your system includes known vulnerabilities. You can scan binaries for over 200 common, vulnerable components (open...
Python库 | cve-bin-tool-2.0.tar.gz
04-07
资源分类:Python库 所属语言:Python 资源全名:cve-bin-tool-2.0.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
强大的安全工具:Intel CVE Bin Tool
gitblog_00006的博客
04-25 554
强大的安全工具:Intel CVE Bin Tool cve-bin-toolThe CVE Binary Tool helps you determine if your system includes known vulnerabilities. You can scan binaries for over 200 common, vulnerable components (openssl...
cve-check-tool, 原始自动CVE检查工具.zip
09-18
cve-check-tool, 原始自动CVE检查工具 cve-check-tool cve-check-tool,顾名思义,是一种检查已知( public ) 大小的工具工具将通过版本匹配识别Linux发行版中潜在的vunlnerable软件包。 如果可以能的话,它也会寻找(
推荐项目:CVE二进制工具 —— 强大的开源漏洞扫描利器
最新发布
gitblog_00028的博客
08-12 451
推荐项目:CVE二进制工具 —— 强大的开源漏洞扫描利器 cve-bin-toolThe CVE Binary Tool helps you determine if your system includes known vulnerabilities. You can scan binaries for over 200 common, vulnerable components (opens...
加强CVEs搜索和处理功能的工具cve-search.zip
07-19
cve-search 把 CVE (Common Vulnerabilities and Exposures) 和 CPE (Common Platform Enumeration) 导入到 MongoDB ,用来加强 CVEs 搜索和处理功能的工具。 要求: Python 3 MongoDB PyMongo sax parser (part of Python) feedformater (for RSS and Atom dump_last) http://code.google.com/p/feedformatter/ 如果你想使用全文搜索,那么你还需要: Whoosh http://packages.python.org/Whoosh/
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
Heartbleed:CVE-2014-0160的检查器(站点和工具
03-31
伤心欲绝 CVE-2014-0160的检查器(站点和工具)。 网址为 工具用法: Heartbleed [-service="service_name"] example.com[:443] Heartbleed service_name://example.com[:443] 退出代码: 0安全; 1脆弱; 2错误。 (最近更改) 请参阅以获取有关错误消息的解释,包括TIMEOUT和BROKEN PIPE 。 如果在https之外指定了服务名称,则该工具会使用STARTTLS检查指定的服务。 您仍然需要指定正确的端口。 安装 您将需要Go> = 1.2,否则将无法undefined: cipher.AEAD和其他错误 go get github.com/FiloSottile/Heartbleed 您还可以使用Docker使用Heartbleed来准备运行虚拟机:
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-10 5306
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
分享国外安全团队及工具
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
CVE漏洞检索工具操作手册
weixin_44820552的博客
06-30 1265
这是一个用于查询组件CVE漏洞信息的Python脚本。它使用NIST NVD的RESTful API来获取CVE数据,并提供格式化的输出和导出到Excel功能。
zabbix监控深信服_Zabbix 远程代码执行漏洞CVE202011800
weixin_28899845的博客
12-06 496
漏洞概要 漏洞名称:Zabbix 远程代码执行漏洞CVE-2020-11800威胁等级:高危影响范围:Zabbix 3.2 (已不支持)Zabbix 3.0 -3.0.30Zabbix 2.2.18 - 2.2.x(已不支持)漏洞类型:远程代码执行 漏洞分析 2.1 Zabbix 组件介绍Zabbix是一个基于WEB界面的分布式系统监视以及网络监视的企业级开...
开源cve漏洞扫描工具
08-19
以下是一些常用的开源CVE漏洞扫描工具: 1. OWASP Dependency-Check:用于扫描应用程序的开源组件,检测是否存在已知的漏洞。 官方网站:https://owasp.org/www-project-dependency-check/ 2. Retire.js:用于检查前端JavaScript库和框架的漏洞,可以集成到构建过程中。 官方网站:https://github.com/RetireJS/retire.js 3. NVD:美国国家漏洞数据库,提供了大量的CVE漏洞信息和数据,可以通过API进行查询。 官方网站:https://nvd.nist.gov/ 4. SonarQube:一个功能强大的代码质量管理平台,可以进行静态代码分析,并检测潜在的安全漏洞。 官方网站:https://www.sonarqube.org/ 5. OpenVAS:一个开源的漏洞评估系统,可以扫描网络中的主机和服务,检测安全漏洞。 官方网站:https://www.openvas.org/ 这些工具可以帮助您扫描和管理开源组件中的已知漏洞。请注意,使用这些工具时,确保及时更新它们的数据库和规则,以获取最新的漏洞信息。同时,还应结合其他安全措施,如定期更新软件版本、实施安全编码实践等,以最大程度地保护应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

翟萌耘Ralph

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值